Seguridad · Emergencia · Recuperación · Prevención

Mi Wallet Fue Hackeada: Qué Hacer en los Próximos 60 Minutos

Es una de las peores sensaciones que existen en cripto: abrís la wallet y los fondos no están. O ves transacciones que no hiciste. Esta guía es para ese momento. Sin vueltas, sin teoría, en orden de prioridad — porque cada minuto que pasa importa.

🔴 Urgente ⏱ 14 min lectura 📅 Julio 2026 ✍️ Por Mauro Gómez
00 — URGENTE

Lo primero que tenés que hacer AHORA

🚨
Si estás en medio de un hackeo activo, leé esto primero Antes de seguir leyendo esta guía: abrí una pestaña nueva, entrá a tu wallet, y mandá todo lo que puedas a una dirección nueva que generaste en un dispositivo limpio. Primero salvás, después analizás. Si ya no queda nada para salvar, tomate un respiro y seguí leyendo con calma.

La blockchain es irreversible. Cuando alguien roba tus cripto y las mueve, esa transacción está hecha para siempre — no hay banco que llames, no hay contracargo, no hay autoridad que revierta el movimiento. Eso es lo primero que hay que aceptar para no perder tiempo buscando soluciones que no existen.

Pero sí hay cosas que podés hacer, y algunas de ellas tienen que hacerse rápido. Esta guía te las da en el orden correcto.

01 — El protocolo

Los primeros 60 minutos: el protocolo

Protocolo de emergencia para wallet comprometida: los 4 pasos en orden Protocolo de emergencia PASO 1 · Inmediato (0-5 min) Mover fondos restantes a dirección nueva en dispositivo limpio 🔒 PASO 2 · Primeros 15 min Revocar todas las aprobaciones activas de la wallet comprometida 🕵️ PASO 3 · Primeros 30 min Analizar en el explorador qué se fue, cuándo y a dónde 🛡️ PASO 4 · Primeras horas Identificar el vector de ataque y cerrar la vulnerabilidad

Paso 1 — Mover lo que queda (0-5 minutos). Si la wallet todavía tiene fondos, mandálos a una dirección nueva que hayas creado en este momento en un dispositivo diferente. No en el mismo celular o computadora comprometida. No importa a dónde van temporalmente: importa que salgan de la wallet comprometida. Después los movés a donde corresponde con calma.

Paso 2 — Revocar aprobaciones (15 minutos). Muchos hackeos funcionan a través de aprobaciones que el atacante ya activó. Si revocás las aprobaciones activas, cortás el acceso aunque la wallet siga comprometida. Usá el Token Approval Checker de Etherscan desde un dispositivo limpio.

Paso 3 — Analizar qué pasó (30 minutos). Una vez que lo urgente está resuelto, abrís el explorador de bloques y buscás tu dirección. Vas a ver todas las transacciones, cuándo salieron los fondos, a qué dirección fueron y qué monto. Esa información es la que necesitás para entender el ataque.

Paso 4 — Cerrar el vector (primeras horas). Encontraste cómo entraron. Ahora cerrás esa puerta: cambiás contraseñas, desconectás dispositivos comprometidos, formateás si hace falta, y arrancás desde cero con las mejores prácticas de seguridad.

02 — El diagnóstico

Cómo confirmar que fuiste comprometido

No siempre es obvio. A veces el hackeo fue silencioso y lo notás semanas después. Estas son las señales:

💸
Transacciones que no hiciste
Abrís el explorador, buscás tu dirección y ves salidas que no reconocés. Es la señal más directa y definitiva.
👻
Tokens que desaparecieron
Tenías algo en la wallet y ya no está. El explorador te dice si fue a otra dirección o si hubo algún movimiento.
⚙️
Aprobaciones sospechosas
En el Token Approval Checker aparecen contratos que aprobaste y no recordás. Pueden estar esperando para vaciar tus fondos cuando querán.
🔔
Alertas de la wallet
Algunas wallets (MetaMask, Rabby) te notifican sobre actividad inusual. Si recibiste una, tomala en serio.
📱
Dispositivo lento o raro
Si el celular o la computadora empezó a comportarse raro de repente, puede haber malware corriendo en segundo plano.
💡
Falsa alarma: esto NO es un hackeo A veces la wallet muestra 0 porque la red está congestionada y no carga los saldos. O porque cambiaste de red y estás viendo la cuenta de otra blockchain. Antes de entrar en pánico, verificá en el explorador de bloques que realmente hay transacciones de salida que no hiciste vos.
03 — Por qué pasó

Los vectores de ataque más comunes

Entender cómo entraron es fundamental para no repetir el error. Estos son los vectores más frecuentes:

VectorCómo funcionaSeñal de que fue esto
🌱 Seed phrase expuestaIngresaste tu seed en un sitio falso, se la mandaste a alguien, o la tenías guardada en la nubeTodos los fondos de múltiples tokens vaciados casi simultáneamente
Aprobación maliciosaAprobaste un contrato que tiene permiso ilimitado de gastar tus tokensSolo se vaciaron algunos tokens, no el ETH/nativo
🖥️ Malware / keyloggerHay un programa malicioso en tu dispositivo que capturó tus clavesCompromiso en múltiples cuentas o servicios
📱 SIM swapTe clonaron el chip de celular y accedieron a tu 2FA por SMSExchanges y servicios afectados, no solo wallets
🎣 PhishingEntraste a un sitio falso que imitaba tu wallet o exchangeRecordás haber "logueado" en algún sitio reciente
💾 Extensión maliciosaInstalaste una extensión del navegador que robó tus clavesSolo el navegador afectado, no otras apps

Identificar el vector correcto es clave porque define qué tenés que hacer. Si fue una aprobación maliciosa, mover los fondos a otra dirección no alcanza — el contrato puede seguir teniendo permisos. Si fue malware, usar el mismo dispositivo para la nueva wallet es suicida. Si fue phishing, cambiar la contraseña de la wallet no sirve de nada porque el problema fue la seed.

El vector más devastador es la exposición de la seed phrase, porque da acceso completo e inmediato a todo. El más silencioso es la aprobación maliciosa, que puede estar dormida meses hasta que el atacante decide activarla. Tenemos una guía completa sobre estafas cripto en Argentina con más detalle sobre cómo funcionan estas técnicas.

04 — La verdad incómoda

¿Se puede recuperar algo?

Esta es la pregunta que todo el mundo hace, y merece una respuesta honesta: en la mayoría de los casos, no. La blockchain es irreversible por diseño. Cuando los fondos salen de tu wallet, esa transacción es permanente y nadie puede revertirla.

Qué se puede y qué no se puede recuperar después de un hackeo ¿Qué se puede hacer? ✅ SÍ podés Mover fondos restantes Revocar aprobaciones Rastrear adónde fue Denunciar (sin garantías) Cerrar la vulnerabilidad ❌ NO podés Revertir transacciones Recuperar lo que ya salió Bloquear al atacante Recibir compensación (salvo exchanges con seguro)

Hay un caso excepcional donde sí existe algo de recuperación: si los fondos pasaron por un exchange centralizado con KYC, a veces los exchanges pueden congelar esa cuenta si se los notificás a tiempo con el TX hash y la denuncia correspondiente. No es garantía, pero vale intentarlo. Mandá el TX hash al soporte del exchange junto con la denuncia policial.

Ojo con las "empresas de recuperación de cripto". Son casi invariablemente estafas secundarias que aprovechan tu desesperación para sacarte más plata. Nadie tiene la capacidad técnica de revertir transacciones blockchain. Si alguien te promete recuperar tus fondos a cambio de un pago adelantado, es una estafa.

05 — El vector silencioso

Las aprobaciones: el vector más subestimado

Este es el vector de ataque que más gente no conoce y que más daño silencioso hace. Cuando interactuás con un protocolo DeFi (swap, stake, mint), tu wallet te pide que "apruebes" que ese contrato pueda gastar tus tokens. Muchos usuarios aprueban sin leer la cantidad — y algunos contratos piden aprobación ilimitada.

Si ese contrato es malicioso, o si en el futuro lo actualizan a una versión maliciosa, tiene permiso permanente de mover todos tus tokens, en cualquier momento, sin que vos hagas nada.

Cómo revisarlo: Entrás a etherscan.io/tokenapprovalchecker, pegás tu dirección, y ves la lista completa de contratos que tienen aprobaciones activas. Para cada uno podés ver qué token, cuánto tienen aprobado, y podés revocar con un clic (paga un poco de gas).

⚠️
Cuándo revocar preventivamente No esperés a que pase algo malo. Después de cada sesión de uso intenso de DeFi, revisá las aprobaciones y revocá todo lo que no necesitás activo. Especialmente: contratos de NFTs (suelen pedir aprobación sobre toda tu colección), protocolos que ya no usás, y cualquier aprobación por "unlimited" que no hayas analizado.
06 — El reset

Crear una wallet nueva y limpia

Una wallet comprometida está comprometida para siempre. Si tu seed phrase fue expuesta, no podés "limpiarla" — cualquier fondo que metas ahí puede desaparecer en cualquier momento. La única solución es empezar de cero.

1
Usá un dispositivo limpio
Si el compromiso fue por malware, el mismo dispositivo puede estar infectado. Usá otro celular o computadora, o formateá y reinstalá el sistema operativo antes de crear la nueva wallet.
2
Descargá la wallet solo desde fuentes oficiales
App oficial en la tienda oficial. Verificá que sea el desarrollador correcto. Muchas apps falsas imitan exactamente a las reales.
3
Anotá la seed phrase OFFLINE
En papel. Sin foto. Sin nota de teléfono. Sin Google Drive. Sin correo. Solo papel y lápiz, guardado en un lugar físico seguro. La seed no existe digitalmente.
4
Verificá que nadie esté mirando
Cuando la wallet muestra la seed phrase, asegurate de estar solo, sin cámaras de seguridad apuntando a la pantalla, sin nadie cerca.
5
Transferí los fondos restantes
De la wallet vieja a la nueva, token por token. No hagas todo en una sola transacción masiva si hay muchos tokens — procesalos con calma.
07 — Para que no vuelva a pasar

Cómo evitar que vuelva a pasar

El mejor momento para aplicar estas medidas era antes del hackeo. El segundo mejor momento es ahora:

Sistema de dos wallets: hot wallet para operar y cold wallet para guardar El sistema de dos wallets 🔥 HOT WALLET Conectada a DeFi, NFTs Contratos nuevos, swaps Guardás poco dinero Si se compromete → pérdida limitada MetaMask, Rabby, etc. ❄️ COLD WALLET NUNCA conectada a DeFi Solo recibir y guardar Tus fondos reales Si la hot es comprometida → segura Ledger, Trezor, o wallet offline

Nunca ingresés tu seed phrase en ningún sitio web. Ningún exchange, ninguna wallet, ningún soporte técnico, ninguna "herramienta de recuperación" necesita tu seed phrase. Si algo te la pide, es una estafa sin excepción.

Separar la wallet de uso diario de la de ahorro. Tener dos wallets: una "caliente" (hot wallet) para interactuar con contratos, probar protocolos nuevos, y operar; y una "fría" donde guardás tus fondos reales y que nunca conectás a sitios de terceros. Si la caliente se compromete, perdés poco.

Revisar aprobaciones periódicamente. Al menos una vez al mes. Las aprobaciones se acumulan con cada interacción DeFi y muchas son innecesarias.

No instalar extensiones del navegador que no conocés. Las extensiones tienen acceso a todo lo que hacés en el navegador, incluyendo las páginas de tu wallet.

Desconfiá de los airdrops no solicitados. Si apareció un token en tu wallet que no compraste, no lo toques, no lo vendas, no interactúes con él. Muchos airdrops maliciosos están diseñados para que cuando intentás moverlos, apruebes sin querer un contrato que vacía lo demás.

Y la medida más efectiva de todas, que mencionamos al final porque requiere un paso extra pero que vale completamente la pena si tenés montos importantes:

Extra — Si los fondos pasaron por un exchange

Denuncia y seguimiento: qué hacer si el atacante usó un exchange

En la mayoría de los casos, los atacantes necesitan eventualmente convertir las cripto robadas en algo más líquido, y para eso suelen pasar por un exchange centralizado. Si podés rastrear el movimiento en el explorador de bloques hasta una dirección conocida de un exchange (Binance, Coinbase, Kraken, OKX), tenés una pequeña ventana de acción.

1
Rastreá el movimiento en el explorador
Seguí la ruta de los fondos desde tu dirección hasta donde terminen. Muchas veces pasan por wallets intermedias antes del exchange. Anotá cada dirección y TX hash del camino.
2
Identificá si llegó a un exchange conocido
Algunas direcciones de exchanges están etiquetadas en Etherscan (aparece el nombre del exchange). También podés usar herramientas como Crystal Blockchain o Chainalysis (las usan los exchanges y las fuerzas de seguridad).
3
Contactá al soporte del exchange INMEDIATAMENTE
Con el TX hash, tu dirección de origen, la dirección destino y la hora exacta. Pedí que congelen la cuenta que recibió los fondos. No garantiza nada, pero algunos exchanges actúan rápido en casos de robo documentado.
4
Hacé la denuncia policial
En Argentina podés denunciar en la División Delitos Informáticos de la PFA o en la fiscalía. Necesitás el TX hash, capturas del explorador y toda la documentación del movimiento. La denuncia también es necesaria si querés que el exchange coopere.
5
Notificá al exchange si tenías KYC ahí
Si tenías cuenta verificada en el exchange donde estaban los fondos, avisales que fuiste víctima de un hackeo. Algunos tienen protocolos de compensación o seguro para estos casos.
⚠️
La realidad de las denuncias en Argentina Las fuerzas de seguridad tienen capacidad técnica limitada para rastrear cripto, y los tiempos son lentos. La denuncia sirve principalmente como documentación formal (para el exchange, para el seguro si lo tenés, y para el registro estadístico) más que como mecanismo real de recuperación. No imposible, pero tampoco probable. La energía que invertís en la denuncia está bien empleada si hay un exchange involucrado; si los fondos se movieron a wallets privadas, las chances son mínimas.
08 — La solución definitiva

La hardware wallet: la solución definitiva

Una hardware wallet (billetera física) es un dispositivo que guarda tus claves privadas offline — desconectado de internet, fuera del alcance de cualquier malware, keylogger o sitio de phishing. Cuando querés firmar una transacción, el dispositivo la muestra en su propia pantalla y te pide confirmación física con un botón. Nadie puede aprobar nada sin ese botón.

¿Qué significa esto en la práctica? Que aunque tu computadora esté infectada con el malware más sofisticado del mundo, no pueden robarte las cripto. Porque las claves nunca salen del dispositivo, y cualquier transacción requiere tu presencia física para confirmarla.

Para montos que no estás dispuesto a perder, una hardware wallet no es un lujo — es la diferencia entre tener custodia real de tus activos y depender de que tu software no tenga vulnerabilidades. Toda la cadena de guías de seguridad que tenemos apunta a esto como el destino natural:

Si querés saber más sobre qué hardware wallet elegir, tenemos la comparativa Ledger vs. Trezor y la guía de cómo guardar tus cripto de forma segura.

09 — Para llevar

Checklist post-hackeo

Fondos restantes movidos a wallet nueva
En dispositivo limpio, seed nueva, guardada offline.
Aprobaciones revocadas
Token Approval Checker revisado y limpiado.
Vector identificado
Seed expuesta, aprobación maliciosa, malware, phishing — identificaste cuál fue.
Vulnerabilidad cerrada
Contraseñas cambiadas, dispositivo formateado si hace falta, extensiones revisadas.
TX Hash guardado
Para la denuncia policial y para notificar a exchanges si los fondos pasaron por ahí.
Sistema de dos wallets implementado
Una caliente para operar, una fría para guardar. Nunca mezclar.
Hardware wallet evaluada
Para los montos que no podés permitirte perder, la custodia en hardware es el paso final.

Un hackeo es una de las experiencias más amargas que puede vivir alguien en cripto. Y aunque no hay forma de deshacer lo que ya pasó, sí hay algo que podés sacar de ahí: un entendimiento mucho más profundo de cómo funciona la seguridad en este ecosistema. Nadie que pasó por esto vuelve a dejar su seed phrase cerca de internet, a aprobar contratos sin leer, o a dejar fortunas en una wallet de software. Esa conciencia, aunque llegó de la peor manera, es real y valiosa. Lo que no podés hacer es perder esa lección.

Preguntas frecuentes sobre wallet hackeada

En la mayoría de los casos, no. Las transacciones en blockchain son irreversibles por diseño: no hay banco central que revierta el movimiento ni autoridad que pueda ordenarlo. Lo que sí podés hacer es detener el daño en curso, mover los fondos que queden antes de que los roben, revocar aprobaciones activas y asegurarte de que el vector de ataque esté cerrado para que no vuelva a pasar.
Las señales más claras: transacciones que no hiciste vos en el historial, tokens que desaparecieron sin que los hayas vendido, aprobaciones raras en el Token Approval Checker de Etherscan, o mensajes de alerta de tu wallet sobre actividad inusual. Si ves cualquiera de estas señales, tratalo como un compromiso hasta demostrar lo contrario.
Lo primero es mover los fondos que todavía queden a una dirección nueva y limpia, usando un dispositivo diferente al comprometido. No pierdas tiempo investigando qué pasó — primero salvás lo que se pueda salvar, después analizás. Cada minuto que pasa es una oportunidad para el atacante de llevarse lo que queda.
Las principales medidas: nunca ingresar tu seed phrase en ningún sitio web o app, usar una hardware wallet para montos importantes, revisar periódicamente las aprobaciones activas en etherscan.io/tokenapprovalchecker, no conectar la wallet a sitios que no conocés, y tener una wallet separada para interactuar con contratos nuevos y otra para guardar tus fondos reales.